viernes, 31 de diciembre de 2010

Resumen de seguridad de 2010 (y IV)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2010 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Octubre 2010:

* Un estudio realizado de forma independiente por Hispasec con 20.263 webs maliciosas revela que Firefox, en comparación con Chrome, Internet Explorer y Opera, es el navegador que bloquea de forma más efectiva los intentos de fraude.

* Se detecta un repunte de ataques contra Java SE Runtime Environment, que aprovechan vulnerabilidades de este software e instalan malware, ensombreciendo por aplastante mayoría a los ataques contra el Adobe Reader que últimamente parecía el preferido por los atacantes.

* Microsoft añade la firma de Zbot a su MSRT (Malicious Software Removal Tool). Los resultados publicados confirman que Zbot (Zeus) sigue siendo la familia que más afecta a los Windows, encontrándose en 1 de cada 5 sistemas limpiados, según Microsoft.

* Se descubre un 0-day en Firefox por el equipo de Trend Micro. La compañía informa que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware.

Noviembre 2010:

* Hispasec desarrolla una herramienta destinada a intentar mitigar con un solo click los riesgos más importantes que puede conllevar utilizar un sistema operativo Windows en un portátil: LapSec

* Team Cymru informa de que, aunque todavía en uso, las botnets orquestadas por IRC (que resultaba el método "tradicional") suponen solo una décima parte de las botnets controladas por web mientras que estas doblan su número cada 18 meses. Zeus y SpyEye han tenido mucho que ver en esto.

* Se descubre un fallo de seguridad en el sistema operativo para teléfonos Android 2.2 que puede permitir a un atacante obtener cualquier fichero del usuario almacenado en el teléfono si la víctima visita una web especialmente manipulada.

Diciembre 2010:

* El 28 de noviembre el servidor principal de distribución de ficheros del proyecto ProFTPD se ve comprometido y la versión 1.3.3c reemplazada por otra con una puerta trasera. El atacante emplea para acceder al servidor una vulnerabilidad no corregida en el propio demonio FTP.

* Se publica en la lista de OpenBSD un mail en el que Theo de Raadt, líder del proyecto, comunica que el código del sistema operativo ha podido ser troyanizado por sus desarrolladores a petición del gobierno de Estados Unidos entre los años 2000 y 2001. La noticia causa un gran revuelo y Theo solicita ayuda para auditar el código.

* Microsoft cierra con sus boletines de diciembre todos los fallos aprovechados por Stuxnet.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (28/12/2010) Resumen de seguridad de 2010 (I)
http://www.hispasec.com/unaaldia/4448

una-al-dia (29/12/2010) Resumen de seguridad de 2010 (II)
http://www.hispasec.com/unaaldia/4449

una-al-dia (29/12/2010) Resumen de seguridad de 2010 (III)
http://www.hispasec.com/unaaldia/4450

jueves, 30 de diciembre de 2010

Resumen de seguridad de 2010 (III)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2010 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Julio 2010:

* VirusBlokAda descubre en junio un nuevo troyano. Pasadas unas semanas, alertan sobre algo realmente inusual en este troyano: su forma de propagarse a través de memorias USB prescindiendo del tradicional archivo autorun.inf. El troyano usa en cierta manera, una vulnerabilidad en archivos .LNK que permite la ejecución de código aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos prácticos, implica que se ha descubierto una nueva forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. Comienza a indagarse sobre un malware que dará mucho que hablar: Stuxnet.

* Se descubre que Stuxnet está dirigido específicamente contra sistemas SCADA WinCC de Siemens, que se ejecutan en Windows. Dentro de su código contiene la contraseña por defecto para la base de datos central del producto. Para colmo, el troyano utiliza para su funcionalidad de rootkit unos drivers firmados digitalmente por la famosa empresa china Realtek. Luego se descubriría que el troyano no solo podía aprovechar esta vulnerabilidad, sino además otras para las que tampoco existía parche. Hasta la fecha, el malware más profesional jamás creado.

* El día 20 de julio Mozilla anuncia la nueva versión 3.6.7 y 3.5.11 de su navegador, que corrige 15 vulnerabilidades en 14 boletines de seguridad diferentes. Tres días más tarde ya estaba disponible la versión 3.6.8 para solucionar una vulnerabilidad introducida al corregir las anteriores.

Agosto 2010:

* Zero Day Initiative de TippingPoint impone una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avisa de un fallo de seguridad de forma privada, no lo han corregido, lo harán público.

* HD Moore destapa un problema de seguridad en decenas de aplicaciones de terceros cuando son ejecutadas sobre Windows. Aunque la raíz del problema es, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft publica un aviso de seguridad con instrucciones para mitigar el fallo. El problema está en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas. Al principio Moore identifica unas cuarenta aplicaciones, pero poco a poco el número comienza a crecer. Comienza la locura del DLL Hijacking.

* MS.AndroidOS.FakePlayer.a se convierte en el primer troyano mediático para Android.

* Intel compra McAfee y se desatan ríos de tinta, dando lugar a todo tipo de análisis sobre cómo evolucionarán los chips de la compañía ahora que tienen tecnología antivirus "propia".

* VirusTotal se renueva con interesantes novedades: nuevo servicio de escaneo de URLs, comunidad VirusTotal, API pública, nuevas estadísticas, nuevo sistema de búsqueda y extensión para Firefox.

Septiembre 2010:

* El 21 de septiembre se crea una especie de virus JavaScript para Twitter que siembra el caos. Se propaga con solo pasar el ratón por encima de un twitt. La vulnerabilidad estaba ya corregida, pero fue reabierta con el cambio de imagen del portal en agosto.

* Destaca un nuevo fallo de seguridad en Adobe Reader porque elude las protecciones de los últimos Windows, y además el exploit está firmado digitalmente.

* SAP anuncia que se apunta al carro de las actualizaciones de seguridad programadas. A partir de ahora, las publicará el segundo martes de cada mes. Como Microsoft, Oracle, Adobe y Cisco.

* ZoneAlarm (de Cisco) utiliza técnicas desafortunadas para incentivar la compra de su software. Una escalofriante ventana emergente sugiere que el equipo está troyanizado con un malware peligrosísimo, alerta a todos los usuarios de este firewall personal. Pero además CheckPoint (responsable del producto) resucita en su página (ya eliminada) todos los tópicos de una publicidad engañosa, irresponsable y sobre todo, anticuada: vuelven 10 años atrás en el marketing antivirus.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (28/12/2010) Resumen de seguridad de 2010 (I)
http://www.hispasec.com/unaaldia/4448

una-al-dia (29/12/2010) Resumen de seguridad de 2010 (II)
http://www.hispasec.com/unaaldia/4449

miércoles, 29 de diciembre de 2010

Resumen de seguridad de 2010 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2010 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2010:

* En abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publican los detalles acerca de un ataque dirigido sobre los servidores de la fundación. Los atacantes emplean una vulnerabilidad desconocida hasta el momento en JIRA (un software de gestión de errores e incidencias en proyectos) que permite efectuar ataques de cross site scripting.

* A las 14:00 horas GMT del 21 de abril, McAfee libera un nuevo fichero DAT de actualización, el 5958 que contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso svchost.exe de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a. Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable.

* Didier Stevens publica una técnica para ejecutar código en Adobe Reader con solo abrir un archivo PDF especialmente manipulado sin utilizar una vulnerabilidad en la implementación del programa..., sino en la especificación PDF.

Mayo 2010:

* Se da a conocer un problema en Facebook que permite a cualquier usuario visualizar el chat de sus amigos en tiempo real. El fallo, fácilmente reproducible por cualquier usuario con unas pocas pulsaciones de ratón, permitía visualizar las conversaciones que cualquiera de sus amigos estuviera manteniendo en ese momento. Todo ello sin necesidad de ningún conocimiento técnico ni escribir ninguna línea de código.

* Aza Raskin desvela un nuevo método de modificación de páginas en pestañas del navegador que puede ser utilizado para realizar ataques de phishing un poco más sofisticados. Está basado en una técnica con JavaScript que permite modificar el aspecto de una página cuando no tiene el "foco" de la pestaña del navegador. Aunque ingenioso, no es realmente usado en ataques. Se le bautiza como Tabnabbing.

* Financial Times publica una noticia en la que se afirma que según "varios empleados", en Google, están empezando a abandonar Windows en sus escritorios por cuestiones de seguridad, motivadas probablemente por el ataque que sufrió la compañía en enero. La decisión (y el titular) es cuando menos discutible, porque en definitiva, el ataque en el que se basó la operación "Aurora" fue un problema de políticas de seguridad de Google, no de un sistema operativo u otro.

Junio 2010:

* El día 9 de junio, Tavis Ormandy (que trabaja para Google) hace públicos todos los detalles de un fallo en el "Centro de soporte y ayuda de Windows" que permite la ejecución de código con solo visitar una web con cualquier navegador. Ofrece una prueba de concepto en una conocida lista de seguridad. Alega que ha avisado a Microsoft cinco días antes, que no se han puesto de acuerdo sobre los plazos y que considera que el problema es serio como para alertar a todos. Microsoft se ve obligada a publicar una alerta reconociendo el fallo, pero lógicamente, todavía sin parche. Poco después, para echar leña al fuego, Graham Cluley de Sophos, publica en su blog una entrada titulada "Tavis Ormandy, ¿estás contento? Páginas explotan el 0 day en Microsoft". Sophos descubre que la industria del malware ya está aprovechando la información de Tavis para realizar ataques de forma masiva. Y empeoraría con el tiempo. Se reabre el debate sobre la "divulgación responsable", que algunos ven como un término avieso creado por las grandes marcas para hacer pensar que cualquier otra vía de divulgación es necesariamente irresponsable.

* Un grupo de investigadores anónimos (y con mucho humor) forman el Microsoft-Spurned Researcher Collective, (un juego con el oficial Microsoft's Security Response Center) que se supone se trata de una formación que intenta encontrar vulnerabilidades en Windows y divulgar todos los detalles sin avisar a Microsoft, con el único fin de vengarse por el trato dado a Tavis. Google y Microsoft se acusan mutuamente. En un intento de calmar ánimos, Microsoft decide cambiar el término "responsible disclosure" por "coordinated disclosure" y la industria lo acepta como nuevo estándar.

* Se descubre que UnrealIRCd, un popular servidor de código abierto de IRC, está troyanizado y disponible desde la página oficial al menos desde noviembre de 2009. Los atacantes reemplazan el código fuente de la versión para sistemas Unix/Linux, y la modificación pasa inadvertida durante unos 8 meses. A raíz del incidente, comienzan a firmar su código.

* Microsoft vuelve a poner la excusa de la "incompatibilidad" para dejar sin un parche de seguridad a un producto al que todavía da "soporte extendido". En este caso se trata de Office XP. La suite ofimática aparecida en 2001, se queda sin el parche MS10-036, que corrige una vulnerabilidad que permite la ejecución de código. La razón oficial: incompatibilidad.


Sergio de los Santos
ssantos@hispasec.com



martes, 28 de diciembre de 2010

Resumen de seguridad de 2010 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2010 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2010:

* Salta a los medios más generalistas la noticia de que un atacante entra en la recién inaugurada web de la Presidencia española de la Unión Europea (www.eu2010.es) e incrusta en ella una imagen del conocido humorista británico Rowan Atkinson en su papel de Mr. Bean. La noticia causa un gran revuelo, agravado tras conocer el dato de que el proyecto había costado más de 11 millones de euros. Pero realmente el sitio no ha sido vulnerado, sino que tiene un problema de cross site scripting. La URL había circulado por Twitter y mensajería a través de una petición especialmente manipulada, alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada.

* 2010 resulta también una cifra incómoda para ciertos sistemas informáticos, que no han gestionado adecuadamente estas cuatro cifras, y han dejado de funcionar o lo han hecho de forma equívoca desde que comenzó el año.

* Hispasec publica, ante el éxito de la primera versión, VirusTotalUploader 2.0. Entre las mejoras más destacadas: permite calcular el hash antes del envío, permite ser ejecutado independientemente del menú contextual, permite la introducción de URLs directamente (y el usuario puede elegir si el fichero a analizar es efectivamente descargado en el disco duro, en qué directorio, o incluso que en ningún momento se aloje en el sistema). Otra mejora es que permite seleccionar y subir cinco ficheros de hasta 20 MBs cada uno y elegir directamente los binarios de los procesos.

* Google reconoce en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En la investigación descubren que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar. McAfee analiza varias muestras del malware involucrado en los ataques. Descubren en los ejemplares una vulnerabilidad no conocida hasta el momento en Internet Explorer. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado. A todo el asunto se le conoce como "Operación Aurora", y sería objeto de serias tiranteces entre China y Google cuando la compañía americana le acusa de ser el origen de los ataques y amenaza con dejar de operar en el país asiático por no aguantar más la censura a la que se veía sometido.

Febrero 2010:

* La fundación Mozilla informa (otra vez, tras los incidentes de 2008) que dos complementos "experimentales" para el navegador Firefox contienen troyanos para Windows. En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose respectivamente.

* La Guardia Civil detiene a tres personas como presuntos responsables de una red que tenía bajo su control más de 13 millones de ordenadores "zombies". Se le denomina red "Mariposa". Panda y los servicios de inteligencia de los EE.UU, participan en la desmantelación de una de las redes zombi más grandes vistas hasta el momento.

* Se hace público que Microsoft conocía el fallo utilizado en la Operación Aurora desde hacía al menos cinco meses. Lo arregla a los pocos días.

Marzo 2010:

* Panda da a conocer que Vodafone, el paquete con el que distribuye el HTC Magic con Android, viene troyanizado con el cliente para incorporar el equipo a la botnet Mariposa.

* Los problemas de seguridad en Adobe comienzan a ser insostenibles. Anuncian un giro en su política de seguridad para intentar enmendarla. Entre las medidas, pretenden colaborar con Microsoft para que las actualizaciones de Adobe se distribuyan a través de los productos y servicios de administración centralizada de Microsoft, como System Center Configuration Manager (SCCM) o System Center Essentials (SCE).

* Mozilla publica la versión 3.6.2 del navegador Firefox que soluciona (entre otros) un fallo de seguridad que estaba siendo aprovechado por atacantes y del que se rumoreaba desde hacía un mes. Por su parte el gobierno alemán recomendó no usar el navegador hasta que el fallo fuese corregido.

* Microsoft publica el boletín de seguridad MS10-018 de carácter crítico, en el que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer. La urgencia se debe a la última vulnerabilidad recientemente anunciada y que está siendo utilizada de forma activa.


Sergio de los Santos
ssantos@hispasec.com



lunes, 27 de diciembre de 2010

Salto de restricciones en IBM WebSphere

Se ha anunciado una vulnerabilidad en IBM WebSphere Service Registry and Repository 7.0, que podría ser empleada por usuarios maliciosos para evitar determinadas restricciones de seguridad.

La vulnerabilidad reside en una interfaz EJB que no realiza de forma adecuada los controles de validación de acceso. Un atacante podría hacer uso de este problema para evitar el proceso de autenticación y realizar acciones administrativas mediante el uso de la API.

Se recomienda actualizar a la versión 7.0.0 Fix Pack 1 (7.0.0.1) o aplicar el APAR IZ72563.
http://www-01.ibm.com/support/docview.wss?uid=swg24026132


Antonio Ropero
antonior@hispasec.com


Más información:

WebSphere Service Registry and Repository EJB security bypass
http://xforce.iss.net/xforce/xfdb/63640

domingo, 26 de diciembre de 2010

Ejecución de código arbitrario en el Editor de Cubiertas de Fax de Microsoft Windows

Se ha anunciado una vulnerabilidad en el editor de páginas de cubierta de fax (Fax Cover Page Editor) de Windows, que podría permitir a un atacante remoto tomar el control de los sistemas afectados.

El fallo consiste en un desbordamiento de memoria intermedia basada en heap en la función 'CDrawPoly::Serialize' localizada en el archivo 'fxscover.exe'. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario a través de un fichero Fax Cover Page (.cov) especialmente manipulado.

La aplicación vulnerable viene por defecto instalada en Windows XP y Server 2003, también está disponible a través del programa "Windows Fax and Scan" para Vista, Windows Server 2008 y Windows 7.

La vulnerabilidad ha sido descubierta por Andrea Micalizzi, que ha publicado los detalles y una prueba de concepto, a través de la web retrogod.altervista.org.

Como contramedida se recomienda no abrir archivos ficheros Fax Cover Page '.cov' de fuentes no fiables.


Fernando Ramírez
framirez@hispasec.com


Más información:

Microsoft Windows Fax Services Cover Page Editor (.cov) Memory Corruption poc
http://retrogod.altervista.org/9sg_cov_bof.html

sábado, 25 de diciembre de 2010

Desbordamiento de búfer en SAP Crystal Reports

Se ha anunciado una vulnerabilidad en SAP Crystal Reports 2008 SP3 Fix Pack v3.2 que podría permitir a un atacante remoto la ejecución de código arbitrario en los sistemas afectados.

El problema reside en un desbordamiento de búfer en el control ActiveX "CrystalReports12.CrystalPrintControl.1" (PrintControl.dll) al tratar código HTML específicamente manipulado. Un atacante remoto podrá lograr ejecutar código arbitrario si el usuario afectado visita una página web maliciosa (el código se ejecutará con los privilegios del usuario afectado).

Se recomienda aplicar la recomendación de la nota de seguridad 1539269 de SAP:
https://websmp130.sap-ag.de/sap/support/notes/1539269


Antonio Ropero
antonior@hispasec.com


Más información:

SAP security note 1539269
https://websmp130.sap-ag.de/sap/support/notes/1539269

Secunia Advisory SA42305
http://secunia.com/advisories/42305/

Crystal Reports Viewer 12.0.0.549 Activex Exploit (PrintControl.dll) 0-day
http://pocoftheday.blogspot.com/2010/12/crystal-reports-viewer-1200549-activex.html

viernes, 24 de diciembre de 2010

Recomendaciones contra la última vulnerabilidad en Internet Explorer

Metasploit ha creado y hecho público un exploit que permite aprovechar una de las vulnerabilidades que Internet Explorer sufre en estos días y no ha corregido aún. En realidad ya existía un exploit público para este fallo, solo que ahora Microsoft lo ha reconocido. Ofrecemos algunas recomendaciones para mitigar el problema hasta que exista parche.

El día 8 de diciembre se hacía público un fallo en el procesamiento de Cascading Style Sheets (CSS) que permitía provocar una denegación de servicio (que Internet Explorer dejase de responder) de forma sencilla con sólo visitar una web. En principio, las denegaciones de servicio en navegadores no son del todo graves, sino más bien una incomodidad para el usuario. Además, son fáciles de provocar con JavaScript.

El problema con ciertas denegaciones de servicio es que a veces pueden ir más allá, y acabar en ejecución de código (no es la primera vez que ocurre). El hecho de que una aplicación deje de responder puede ser el indicio de que existe alguna forma de controlar el flujo de instrucciones. Si es así, el problema es muy grave. Y esto precisamente es lo que ocurrió el día 14. Algunos investigadores descubrieron cómo ir más allá y ejecutar código arbitrario en lo que parecía una simple denegación de servicio. Afectaba a Internet Explorer 6, 7 y 8.

Muy poco después, Nephi Johnson de breakingpointsystems.com, publicaba el código necesario para aprovechar la vulnerabilidad. El día 23 de diciembre el fallo se añade al popular Metasploit. La diferencia con respecto al anterior, es que ahora el exploit podía eludir DEP y ASLR en Vista y 7. Esto es relativamente sencillo últimamente, debido a la carga dinámica en Internet Explorer de librerías que no están marcadas para utilizar ASLR (en este caso mscorie.dll) y el uso de RoP (return oriented programming).

Ese mismo día Microsoft reconoce el fallo y comienza a trabajar en él para solucionarlo. No se tiene constancia de que esté siendo aprovechado por atacantes aún para instalar malware (aunque sin duda es lo más probable).

Damos algunas sugerencias para mitigar el fallo. En realidad, los consejos son válidos para intentar mitigar cualquier vulnerabilidad:

* Utilizar las zonas de seguridad de Internet Explorer. Si se eleva a "alta" el nivel de seguridad de la zona de Internet del navegador, se evitarían muchísimos de los ataques actuales. Esta posibilidad está disponible en las opciones del navegador. Si se tienen problemas para visualizar páginas legítimas, basta con añadirlas a la lista de confianza.

* Utilizar Enhanced Mitigation Experience Toolkit (EMET) de Microsoft. Esta herramienta permite que todas las DLL cargadas por un programa sean obligadas a usar ASLR. Esto quiere decir que serán colocadas en lugares aleatorios de la memoria y el exploit que intente apoyarse en ellas para funcionar, no lo hará.

* Ahora que están de moda las sandbox desde que Adobe la implementa en su lector, cabe recordar que existen programas que permiten "encapsular" en una sandbox otras aplicaciones. En concreto, por ejemplo sandboxie (gratuito) permite ejecutar el navegador dentro de un entorno virtual. Cualquier ataque no pasaría al entorno "real" del sistema.

* Existen aplicaciones como WehnTrus (gratuita) que permiten implementar ASLR en los sistemas operativos de Microsoft que no lo soportan, como Windows XP y 2003.


Sergio de los Santos
ssantos@hispasec.com


Más información:

When A DoS Isn't A DoS
http://www.breakingpointsystems.com/community/blog/ie-vulnerability/

Microsoft Security Advisory (2488013)
http://www.microsoft.com/technet/security/advisory/2488013.mspx

jueves, 23 de diciembre de 2010

Desbordamiento de memoria intermedia a través del servicio FTP en IIS 7.x

El investigador Matthew Bergin ha descubierto una vulnerabilidad en el servicio FTP integrado en la versión 7.5 de IIS en Windows 7. Ha hecho públicos todos los detalles del fallo y el código necesario para aprovecharlo.

El fallo se debe a un desbordamiento de memoria intermedia en la función 'OnSendData'. Este fallo podría ser aprovechado por un atacante remoto (sin necesidad de poseer usuario en ese FTP) para causar una denegación de servicio a través de peticiones de usuario especialmente manipuladas. Al tratarse de un desbordamiento de memoria intermedia podría llegar a permitir la ejecución de código arbitrario, pero de momento, no ha sido demostrado que pueda ser explotado con dicho fin.

Microsoft engloba dentro del "paquete" IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto. La versión 7.5 de IIS se encuentra disponible para Windows 2008 y Windows 7. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.

No es la primera vez que el servicio FTP de IIS es vulnerado "por sorpresa". El 31 de agosto del 2009, Kingcope publicó también sin previo aviso, un exploit que permitía a un atacante remoto ejecutar código con permisos de SYSTEM en un servidor IIS 5.x. Este caso resultaba mucho más grave, aunque se limitaba a una versión relativamente antigua y bajo condiciones concretas (WebDAV). Ya hablamos de ello en
http://www.hispasec.com/unaaldia/3965


Fernando Ramírez
framirez@hispasec.com


Más información:

Windows 7 IIS7.5 FTPSVC UNAUTH'D Remote DoS PoC
http://www.exploit-db.com/exploits/15803/

miércoles, 22 de diciembre de 2010

Ejecución remota de código en HP StorageWorks Storage Mirroring

HP ha confirmado la existencia de una vulnerabilidad en HP StorageWorks Storage Mirroring (versiones anteriores a 5.2.2.1771.2), que podrían permitir a un atacante remoto comprometer los sistemas afectados.

El software HP StorageWorks Storage Mirroring se ha diseñado para recuperar aplicaciones, servidores, datos y almacenamiento con la misma interfaz de fácil uso. Storage Mirroring compara los datos y envía sólo aquéllos que han cambiado.
El problema del que no se han facilitado detalles se ha reportado a través de TippingPoint ZDI, y podría permitir a un atacante remoto lograr la ejecución de código arbitrario en los sistemas vulnerables.

HP ha publicado la actualización 5.2.2.1771.2 disponible a través del canal de soporte de HP Services.


Antonio Ropero
antonior@hispasec.com


Más información:

HPSBST02619 SSRT100281 rev.2 - HP StorageWorks Storage Mirroring, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02660122

martes, 21 de diciembre de 2010

Ejecución arbitraria de comandos en Citrix Access Gateway

Se ha encontrado un fallo en los módulos de autenticación NT4 y NTLM de Citrix Access Gateway que podría permitir a un atacante ejecutar comandos arbitrarios en el servidor.

Citrix Access Gateway es un popular dispositivo para realizar VPN sobre SSL e IPSec.

El problema tiene su origen en que no se filtra adecuadamente la contraseña enviada al servidor. Los valores enviados son directamente introducidos en una línea de comando y, por tanto, un atacante podría ejecutar cualquier comando sobre el servidor mediante un valor especialmente manipulado de la contraseña en los módulos de autenticación NT4 o NTLM.

Ha sido publicado una prueba de concepto y asignado el CVE "CVE-2010-4566". Citrix fue avisada del problema el pasado mes de agosto.

Esta vulnerabilidad afecta a todas las versiones "Enterprise" inferiores a 9.2-49.8 y todas las versiones "Standard" y "Advanced" inferiores a 5.0.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Original Advisory:
http://www.vsecurity.com/resources/advisory/20101221-1/

Citrix Security Bulletin:
http://support.citrix.com/article/CTX127613

lunes, 20 de diciembre de 2010

Vídeos de Taher Elgamal, coloquios del DISI 2010 e intypedia en el canal YouTube de la UPM

En el canal YouTube de la Universidad Politécnica de Madrid se encuentran disponibles todos los vídeos del Quinto Día Internacional de la Seguridad de la Información DISI 2010.

Vídeo 1. Inauguración DISI 2010, con la participación de D. José Manuel Perales, D. Taher Elgamal, D. César Benavente y D. Jorge Ramió. Duración 06:05 minutos.
url: http://www.youtube.com/watch?v=xbmfYROJCls

Vídeo 2. Conferencia inaugural eCommerce and Internet Security: the last 15 years and the next 15 years, a cargo del Dr. Taher Elgamal, Axway USA. Duración 01:41:36 horas.
url: http://www.youtube.com/watch?v=Fky7aBZxHZY
Diapositivas de la conferencia:
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2010Elgamal

Vídeo 3. Coloquio Esquema Nacional de Seguridad ENS y centros de respuesta a incidentes de seguridad, con la participación de D. Eduardo Carozo del CSIRT ANTEL, Uruguay, Dña. Chelo Malagón de RedIRIS, D. Javier Candau del Centro Criptológico Nacional, D. Marcos Gómez de INTECO y moderado por Dña. Gemma Déler de Applus+. Duración 01:07:16 horas.
url: http://www.youtube.com/watch?v=41k0aTupUqM

Vídeo 4. Coloquio Atacando las Infraestructuras Críticas, con la
participación de D. José Parada de Microsoft Ibérica, D. Juan Luis Rambla de Informática64, D. Rubén Santamarta de Wintercore y moderado por D. Justo Carracedo de la UPM. Duración 01:17:38 horas.
url: http://www.youtube.com/watch?v=DIQ3AUPaO6k

Vídeo 5. Clausura DISI 2010, con la participación de D. César Sanz, D.Taher Elgamal, Dña. Gemma Déler y D. Jorge Ramió. Duración 06:33 minutos.
url: http://www.youtube.com/watch?v=XpfMfyHmtXo

Así mismo ya está disponible la Lección 3 de intypedia Sistemas de cifra con clave pública, del autor D. Gonzalo Álvarez Marañón del Consejo Superior de Investigaciones Científicas CSIC en Madrid, España, que cuenta con tres capítulos o escenas: 1. El problema de la distribución de la clave; 2. La criptografía de clave pública; 3. El problema de la confianza. Duración 11:32 minutos.
url:
http://www.criptored.upm.es/intypedia/video.php?id=criptografia-asimetrica&lang=es
En esta lección se introduce la problemática de la distribución de la clave analizada en la lección anterior y se presenta la solución mediante el uso de la criptografía de clave pública. A continuación se describen las operaciones características de estos sistemas asimétricos que ofrecen confidencialidad e integridad por separado, permitiendo así el intercambio de clave y la firma digital. Finalmente se pone sobre la mesa el problema de la confianza y validez una clave pública mediante una breve introducción al concepto de las Infraestructuras de Clave Pública PKI así como su vulnerabilidad ante ataques del tipo man in the middle.


Jorge Ramió Aguirre
Director Cátedra UPM Applus+
www.capsdesi.upm.es



domingo, 19 de diciembre de 2010

Elevación de privilegios a través de ACPI en kernel Linux 2.6.x, calificada de "locura"

Dave Jones ha descubierto un fallo en los permisos del fichero '/sys/kernel/debug/acpi/custom_method' que podría permitir a un usuario local llevar a cabo una elevación de privilegios a través de la modificación de las llamadas a métodos ACPI. El propio descubridor ha calificado de "locura" los permisos asignados a ese archivo.

ACPI es un estándar que controla el funcionamiento del BIOS y proporciona mecanismos avanzados para la gestión y ahorro de la energía convirtiendo, por ejemplo, la pulsación del botón de apagado en un simple evento. Así, el sistema operativo puede detectarlo y permitir efectuar un apagado ordenado de la máquina, sin riesgo para el hardware (como ocurría anteriormente).

El fallo se da en que el archivo

/sys/kernel/debug/acpi/custom_method

actualmente tiene permisos de escritura para todos los usuarios del equipo, independientemente de sus permisos. Esto permitiría que elevaran privilegios a root de forma sencilla. El propio descubridor escribe en una nota del GIT.

"Currently we have:

--w--w--w-. 1 root root 0 2010-11-11 14:56
/sys/kernel/debug/acpi/custom_method

which is just crazy. Change this to --w-------."

Para corregir el fallo basta con cambiar los permisos del fichero habilitando exclusivamente la escritura para el usuario root.

El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-4347.


Fernando Ramírez
framirez@hispasec.com


Más información:

CVE-2010-4347 kernel: local privilege escalation via
/sys/kernel/debug/acpi/custom_method
https://bugzilla.redhat.com/show_bug.cgi?id=663542

ACPI: debugfs custom_method open to non-root
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;h=ed3aada1bf34c5a9e98af167f125f8a740fc726a

Advanced Configuration and Power Interface (ACPI)
http://es.wikipedia.org/wiki/Advanced_Configuration_and_Power_Interface

sábado, 18 de diciembre de 2010

Actualización de Apple para Time Capsule y AirPort Base Station

Apple ha publicado una actualización para corregir cinco vulnerabilidades en Apple Time Capsule y AirPort Base Station (802.11n) con firmware con versiones anteriores a 7.5.2, que podrían permitir a un atacante remoto provocar denegaciones de servicio o evitar restricciones de seguridad.

El primero de los problemas reside en un desbordamiento de entero en el servicio SNMP, que podría provocar una caída del servicio. Un segundo problema se presenta en el tratamiento de un gran número de paquetes IPv6 Router Advertisement (RA) y Neighbor Discovery (ND) desde un sistema de la red local, que podría provocar una denegación de servicio.

Se ha corregido otro problema en el tratamiento de tráfico ftp entrante, que podría permitir a un atacante con acceso a escritura en un servidor ftp dentro del NAT provocar que el ALG envíe datos maliciosos a una IP y puerto fuera de la NAT mediante comandos PORT específicamente creados.

Otra vulnerabilidad de denegación de servicio reside en el tratamiento de paquetes ISAKMP. Por último un error de implementación en el bridge de red en el tratamiento de respuestas DHCP mal construidas, que podría provocar que un dispositivo vulnerable deje de responder al tráfico de red

Se recomienda actualizar el firmware a la versión 7.5.2 desde:
http://www.apple.com/support/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of Time Capsule and AirPort Base Station (802.11n) Firmware 7.5.2
http://support.apple.com/kb/HT4298

viernes, 17 de diciembre de 2010

Versión troyanizada de phpMyFAQ descargable desde la web oficial

El equipo de phpMyFAQ ha informado a través de su página web que desde el 4 al 15 de diciembre ha estado siendo descargada una versión del software phpMyFAQ que contenía una puerta trasera. Al parecer el servidor que alojaba la versión oficial ha sido vulnerado, sustituyéndola por una fraudulenta. Los atacantes también modificaron el hash MD5 en la web que "garantizaba" la integridad del archivo, en un intento de ser detectados en el caso de que algún usuario comprobase la firma del fichero.

phpMyFAQ es una popular aplicación para preguntas y respuestas frecuentes escrito en PHP.

La puerta trasera estaba codificada en base64 y se encontraba en la función getTopTen localizada en el fichero inc/Faq.php. El código fraudulento enviaba un correo electrónico al atacante informando del servidor donde se encontraba instalada la versión troyanizada. Además añadía una entrada en la tabla faqconfig, por la que los atacantes podían ejecutar código PHP arbitrario.

Las versiones afectadas son phpMyFAQ 2.6.11 y 2.6.12.

Los ficheros fraudulentos han sido sustituidos y su CVE asignado es CVE-2010-4558.


Fernando Ramírez
framirez@hispasec.com


Más información:

phpmyfaq.de compromised
http://www.phpmyfaq.de/advisory_2010-12-15.php

jueves, 16 de diciembre de 2010

Ejecución remota de código en BlackBerry Enterprise Server

BlackBerry ha publicado una actualización para corregir una nueva vulnerabilidad en BlackBerry Enterprise Server y BlackBerry Professional, que podría permitir a un atacante remoto ejecutar código arbitrario con enviar un archivo con un adjunto malicioso.

De nuevo el problema reside en el tratamiento de archivos pdf, algo que viene repitiéndose de forma habitual en los sistemas de Research In Motion (RIM), empresa responsable de BlackBerry.

Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 4.1.3 a 5.0.2 para MS Exchange, Lotus Domino o GroupWise; BlackBerry Enterprise Server Express 5.0.1 o 5.0.2 para MS Exchange; BlackBerry Enterprise Server Express 5.0.2 para Lotus Domino y BlackBerry Professional Software 4.1.4 para MS Exchange y Lotus Domino.

Un atacante podría, a través de un archivo PDF especialmente manipulado, enviado como adjunto en un mensaje de forma que al abrirlo en el dispositivo móvil, se ejecute el código malicioso en el servidor que aloja el servicio de adjuntos.

Se han publicado actualizaciones para corregir este problema. Dada la diversidad de versiones y sistemas de correo afectados (Microsoft Exchange, IBM Lotus Domino y Novell GroupWise), se recomienda consultar el aviso publicado en:
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB24761


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB24761

miércoles, 15 de diciembre de 2010

Actualización de seguridad del navegador Google Chrome

Google ha actualizado las versiones Stable y Beta de su navegador Chrome a la versión 8.0.552.224 para todas las plataformas. Chrome OS también se ha actualizado a 8.0.552.343.

Se han corregido cinco vulnerabilidades, dos de gravedad alta, dos consideradas como medias y una última de carácter bajo. Una de ellas solo afecta a sistemas Linux 64-bits y otra relacionada con el tratamiento de punteros en el manejo del cursor.

Otra vulnerabilidad relacionada con en el manejo de pestañas puede provocar la caída del navegador. También se ha corregido una vulnerabilidad, de gravedad media, de lectura fuera de límites al procesar CSS. Y la última vulnerabilidad, de menor gravedad, por un puntero NULL que puede provocar que el navegador deje de funcionar.

La nueva versión de Google Chrome puede ser actualizada desde el mismo
navegador o desde la página web de Chrome.


Antonio Ropero
antonior@hispasec.com


Más información:

Stable, Beta Channel Updates
http://googlechromereleases.blogspot.com/2010/12/stable-beta-channel-updates_13.html

martes, 14 de diciembre de 2010

Microsoft cierra el año con 17 boletines de seguridad

Este martes Microsoft ha publicado 17 boletines de seguridad (del MS10-090 al MS10-106) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft dos de los boletines tiene un nivel de gravedad "crítico", 15 presentan un nivel "importante" y un último es de grado "moderado". En total se han resuelto 35 vulnerabilidades.

Microsoft ha superado de nuevo su récord, si en octubre había publicado 16 boletines ahora supera esta cantidad. El número total de boletines publicados este año también representa una cantidad superior a la de cualquier año anterior, 106 boletines.

Se han corregido vulnerabilidades de ejecución de código en Internet Explorer, elevaciones de privilegios y denegaciones de servicio en Microsoft Windows y problemas con las fuente OpenType en Windows. Se han solucionado problemas con la carga de librerías en Movie Maker, la libreta de direcciones, Internet Connection Signup Wizard, y Windows BranchCache. El Codificador de Windows Media y toda la gama de Office también se han visto afectados por numerosos problemas. Por último, se ha corregido un fallo en Exchange servier 2007.

Entre los boletines publicados cabe destacar una actualización acumulativa para Internet Explorer que además corrige siete nuevas vulnerabilidades. También se han corregido todos los problemas que aprovechaba Stuxnet, el malware que en los últimos meses tanto dio que hablar y del que ya efectuamos un profundo repaso en una-al-dia:
http://www.hispasec.com/unaaldia/4382
http://www.hispasec.com/unaaldia/4383
http://www.hispasec.com/unaaldia/4384

Y también se han centrado en la corrección del fallo de la carga de librerías, anunciado en agosto por HD Moore y que afectaba a múltiples aplicaciones, y que también fue tratado detalladamente por Hispasec:
http://www.hispasec.com/unaaldia/4322

Como es habitual, las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de diciembre de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-dec.mspx

lunes, 13 de diciembre de 2010

Actualización de seguridad para Quicktime

Apple ha publicado una nueva versión de QuickTime (la 7.6.9), que solventa 15 problemas de seguridad en sus versiones para Windows y Mac OS.

Las vulnerabilidades están relacionadas con la visualización de imágenes y vídeos específicamente manipulados, en formato JP2, avi, FlashPix, GIF, PICT o QTVR. Los problemas podrían provocar una denegación de servicio o permitir la ejecución remota de código arbitrario al acceder a una página web maliciosa.

La actualización puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of QuickTime 7.6.9
http://support.apple.com/kb/HT4447

domingo, 12 de diciembre de 2010

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado 11 boletines de seguridad (del MFSA2010-74 al MFSA2010-84) para solucionar 13 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla nueve de los boletines presentan un nivel de gravedad "crítico", uno es de carácter "alto" y un último considerado como "moderado".

Los boletines publicados son:

* MFSA 2010-74: Boletín crítico, que corrige tres problemas de seguridad de la memoria en el motor del navegador.

* MFSA 2010-75: Considerado crítico. Desbordamiento de búfer al pasar cadenas de gran tamaño a document.write.

* MFSA 2010-76: Boletín crítico, por una vulnerabilidad de escalada de privilegios con window.open y elementos "isindex".

* MFSA 2010-77: Vulnerabilidad crítica de ejecución remota de código por el uso de etiquetas HTML dentro de árboles XUL.

* MFSA 2010-78: Se añade soporte OTS, una librería para la normalización de fuentes descargables.

* MFSA 2010-79: Vulnerabilidad crítica por un salto de la seguridad Java al cargar un script LiveConnect.

* MFSA 2010-80: Boletín crítico, por una vulnerabilidad de uso después de liberar con nsDOMAttribute MutationObserver.

* MFSA 2010-81: Boletín que corrige una vulnerabilidad crítica de desbordamiento de entero en el tratamiento de matrices JavaScript.

* MFSA 2010-82: Boletín de gravedad crítica, debido a que la anterior corección al problema CVE-2010-0179, podía ser evitada.

* MFSA 2010-83: Vulnerabilidad de gravedad alta por un error que podría permitir la falsificación de la barra de localización.

* MFSA 2010-84: Boletín de carácter moderado relacionado con un cross-site scripting en la codificación de caracteres x-mac-arabic, x-mac-farsi y x-mac-hebrew.

Se han publicado las versiones 3.6.13 y 3.5.16 del navegador Firefox, las versiones 3.1.7 y 3.0.11 de Thunderbird y la 2.0.11 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/


Antonio Ropero
antonior@hispasec.com


Más información:

MFSA 2010-84 XSS hazard in multiple character encodings
http://www.mozilla.org/security/announce/2010/mfsa2010-84.html

MFSA 2010-83 Location bar SSL spoofing using network error page
http://www.mozilla.org/security/announce/2010/mfsa2010-83.html

MFSA 2010-82 Incomplete fix for CVE-2010-0179
http://www.mozilla.org/security/announce/2010/mfsa2010-82.html

MFSA 2010-81 Integer overflow vulnerability in NewIdArray
http://www.mozilla.org/security/announce/2010/mfsa2010-81.html

MFSA 2010-80 Use-after-free error with nsDOMAttribute MutationObserver
http://www.mozilla.org/security/announce/2010/mfsa2010-80.html

MFSA 2010-79 Java security bypass from LiveConnect loaded via data: URL meta refresh
http://www.mozilla.org/security/announce/2010/mfsa2010-79.html

MFSA 2010-78 Add support for OTS font sanitizer
http://www.mozilla.org/security/announce/2010/mfsa2010-78.html

MFSA 2010-77 Crash and remote code execution using HTML tags inside a XUL tree
http://www.mozilla.org/security/announce/2010/mfsa2010-77.html

MFSA 2010-76 Chrome privilege escalation with window.open and "isindex" element
http://www.mozilla.org/security/announce/2010/mfsa2010-76.html

MFSA 2010-75 Buffer overflow while line breaking after document.write with long string
http://www.mozilla.org/security/announce/2010/mfsa2010-75.html

MFSA 2010-74 Miscellaneous memory safety hazards (rv:1.9.2.13/ 1.9.1.16)
http://www.mozilla.org/security/announce/2010/mfsa2010-74.html

sábado, 11 de diciembre de 2010

Múltiples vulnerabilidades en cliente Novell iPrint

Se han anunciado diversas vulnerabilidades de ejecución de código en el cliente Novell iPrint (versiones anteriores a la 5.52), que podrían permitir a un atacante remoto lograr comprometer los sistemas afectados.

Los problemas reportados por ZDI, residen en desbordamientos de búfer relacionados con Netscape/ActiveX "printer-state-reasons", "nipplib.dll", "call-back-url" y cabecera "Location:". Estos problemas podrían permitir a un atacante remoto lograr el compromiso del sistema de un usuario al visitar una página web específicamente creada

Novel se encuentra trabajando en la resolución de estos problemas. Si se hace uso del cliente iPint se recomienda precaución al visitar páginas web de dudosa procedencia.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability - Novell iPrint Client Netscape/ActiveX printer-state-reasons Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7007346

Security Vulnerability - Novell iPrint nipplib.dll IPP strcpy Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7007345

Security Vulnerability - iPrint nipplib.dll IPP WideCharToMultiByte Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7007344

Security Vulnerability - iPrint Client call-back-url Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7007343

viernes, 10 de diciembre de 2010

Vídeo: Roguetools (el rogueware no solo abarca a los falsos antivirus)

Dentro del rogueware ha habido siempre varias tendencias. La más conocida sea quizás la de los falsos antivirus, pero existen otras. En estos momentos hemos detectado una nueva campaña muy elaborada de rogueware que simula ser una herramienta de sistema. Hemos bautizado a estas variantes como "roguetools" y hemos creado un vídeo para demostrar su funcionamiento.

En los últimos tiempos, el rogueware enfocado hacia los falsos antivirus se ha especializado llegando a realizar programas y campañas realmente profesionales. Desde hace algunos días (las primeras muestras llegan a VirusTotal el 28 de noviembre), los creadores de este tipo de malware están apostando fuerte por programar malware que simula ser una completa herramienta de sistema. La dinámica es la conocida: se aparenta un análisis del disco duro, la memoria RAM, etc. Se alerta sobre errores inventados y se insta al usuario a pagar para solucionarlos.

Solo 7 de 43 motores los detectan por firmas en un primer momento (el primer día que es enviado a nuestros servidores). Con una de las muestras la detección es mucho mayor (37/43).

Invitamos al lector a visualizar el vídeo alojado en YouTube (4:03 minutos). Si por alguna razón no se visualiza bien, recomendamos reproducirlo a 480p. Este valor se puede modificar desde la barra de desplazamiento de YouTube:






Curiosidades:

* Los nombres que utiliza el malware son SystemDefragmenter, ScanDisk, CheckDisk, QuickDefragmenter... con un comportamiento parecido que parece se va afinando con las diferentes versiones.
* Se ejecuta desde el archivo temporal, donde también crea una librería dinámica (DLL)
* Simula acceder al dominio defragmentetorstore.com con un certificado válido (la barra de Internet Explorer se vuelve verde) pero es falso. Accede en realidad a searchfinddivide.org. La página está caída actualmente.


Sergio de los Santos
ssantos@hispasec.com



jueves, 9 de diciembre de 2010

Ejecución de código remoto en Exim

Se ha encontrado una vulnerabilidad en Exim que podría permitir a un atacante remoto ejecutar código arbitrario a través del envío de un mensaje de correo.

Exim es un servidor de correo electrónico de fuente abierta, muy popular en el mundo Unix. Exim es el servidor de correo por defecto de la distribución Debian GNU/Linux.

Exim comenzó a desarrollarse en 1995 en la Universidad de Cambridge de manos de Philip Hazel. Al comienzo de su desarrollo se basó en el código de otro servidor de correo denominado Smail 3. Aunque el proyecto iba destinado para uso interno de la Universidad, su popularidad comenzó a extenderse y hoy día en su versión 4.72 es un servidor con gran presencia en la red, rivalizando con Sendmail, Postfix y otros.

La vulnerabilidad fue hallada por Sergey Kononenko mientras investigaba un incidente de seguridad ocurrido en la empresa donde trabaja. Kononenko describe como los atacantes pudieron escalar a root a través del servidor Exim de su Debian por medio de un mensaje de correo alterado.

Aunque no se han publicado detalles de la vulnerabilidad la información aportada por Kononenko apunta a una falta de filtrado en los datos transportados por la cabecera denominada HeaderX y a los privilegios del proceso del propio Exim.

Se consideran vulnerables las versiones inferiores a la 4.70 de Exim.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[exim-dev] Remote root vulnerability in Exim
http://www.exim.org/lurker/message/20101207.215955.bb32d4f2.en.html

Web del proyecto Exim
http://www.exim.org/

miércoles, 8 de diciembre de 2010

Microsoft publicará 17 boletines el próximo martes

En su ciclo habitual de actualizaciones de los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 17 boletines de seguridad. En total se corregirán 40 vulnerabilidades que afectan a Windows, Office, Internet Explorer, SharePoint y Exchange.

De los 17 boletines, dos se han calificado de críticos, 14 importantes y un último boletín como moderado en su impacto.

A destacar que este año 2010, Microsoft suma un total de 106 parches, lo que sitúa a este año, en comparación con años anteriores, como el más activo en cuanto a publicación de actualizaciones.

También cabe reseñar que este grupo de parches contendrá la solución a la elevación de privilegios explotada por el malware Stuxnet y un zero-day notificado a primeros de noviembre que permite ejecutar código arbitrario en Internet Explorer.

Por software afectado pasamos a ver el desglose de este grupo de boletines:

* Microsoft Windows recibirá 13 de los parches, uno de ellos conjuntamente con Internet Explorer. Dos de los boletines críticos, el resto importantes. Los boletines corrigen vulnerabilidades que podrían permitir a un atacante ejecutar código arbitrario, elevar privilegios o causar una denegación de servicio.

* Microsoft Office obtiene dos parches, ambos importantes, que corrigen vulnerabilidades que podrían permitir a un atacante ejecutar código arbitrario.

* Microsoft SharePoint, una actualización importante que corrige una vulnerabilidad que podría permitir a un atacante ejecutar código arbitrario.

* Microsoft Exchange, un parche moderado que corrige una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio.

Microsoft también publicará simultáneamente una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool. Igualmente se publicarán parches no relacionados con la seguridad que corrigen fallos de programación y mejoras.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for December 2010
http://www.microsoft.com/technet/security/bulletin/ms10-dec.mspx

December 2010 Advance Notification Service is released
http://blogs.technet.com/b/msrc/archive/2010/12/09/december-2010-advance-notification-service-is-released.aspx

Description of Software Update Services and Windows Server Update Services changes in content for 2010
http://support.microsoft.com/kb/894199/en-us

martes, 7 de diciembre de 2010

Exploit para kernel Linux 2.6.x permite la elevación local de privilegios

Dan Rosenberg ha publicado un exploit para el kernel de Linux 2.6.x que permite a un usuario local elevar privilegios.

El exploit hace uso de tres vulnerabilidades publicadas por Nelson Elhage (CVE-2010-4258, CVE-2010-3849, CVE-2010-3850).

A continuación se detallan las distintas vulnerabilidades:

CVE-2010-4258: Existe un error de falta de comprobación de límites en la función set_fs(KERNEL_DS que podría ser aprovechado por un atacante local para elevar privilegios a través de vectores relacionados con la creación de un hilo con la bandera CLONE_CHILD_CLEARTID activada.

CVE-2010-3849: Existe un error de comprobación de restricciones en la función 'econet_sendmsg' del protocolo Econet que podría causar una referencia a puntero nulo. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de una llamada a la función 'econet_sendmsg' con el valor dirección remota instanciado a NULL.

CVE-2010-3850: Existe un error en la función 'ec_dev_ioctl' en el protocolo Econet que no comprueba el valor de la variable 'SIOCSIFADDR'. Esto podría ser aprovechado por un atacante local para ejecutar código arbitrario a través de una llamada a 'ec_dev_ioctl' especialmente manipulada.

Actualmente Debian y Ubuntu han publicado actualizaciones para las vulnerabilidades CVE-2010-3849 y CVE-2010-3850, por lo que no tendría éxito el exploit. Tan poco sería posible llevarlo a cabo en sistemas Red Hat ya que por defecto no integran el protocolo Econet.


Fernando Ramírez
framirez@hispasec.com


Más información:


Linux kernel exploit
http://seclists.org/fulldisclosure/2010/Dec/85

lunes, 6 de diciembre de 2010

Peligro de phishing en iPhone

Nitesh Dhanjani, investigador de seguridad ha publicado en su blog una vulnerabilidad por la cual un atacante podría engañar al usuario haciéndole creer que están en páginas de confianza como bancos, tiendas online u otras páginas de carácter sensible, cuando en realidad no lo están.

El problema, simple e ingenioso, no reside en el navegador, sino en el sistema operativo iOS que, por diseño, permite a decisión del programador, desplazar la barra de direcciones fuera de la zona visible del usuario, permitiendo de esta manera tener más espacio útil en la pantalla.

Nitesh Dhanjani ha publicado una prueba de concepto en la que se hace pasar por el Banco de América, cuando en realidad no lo es, es una página creada por él, en la que Nitesh oculta la barra de direcciones y a continuación 'pinta' su propia barra en la que simula estar en el sitio legítimo. Con esta vulnerabilidad a la vista habrá que tener muy en cuenta por donde se navega.

La única forma de mitigar el error mientras Apple toma medidas y lo resuelve es desplazarse hacia arriba cuando se entre en una página de carácter sensible.


Jose Ignacio Palacios
jipalacios@hispasec.com


Más información:

Blog de Nitesh Dhanjani
http://www.dhanjani.com/blog/2010/11/ui-spoofing-safari-on-the-iphone-.html

domingo, 5 de diciembre de 2010

Publicada la versión 5.6 de Winamp

Nullsoft ha publicado la versión 5.6 de su reproductor Winamp, que corrige varios errores de seguridad.

Winamp es un reproductor multimedia gratuito muy extendido entre los usuarios de la plataforma Windows, por su popularidad, uso de pocos recursos para el sistema y por su fácil y sencilla interfaz gráfica, permitiendo personalizar ésta última.

El NIST (National Institute of Standards and Tecnology) ha asignado los siguientes CVEs a las vulnerabilidades que se describen a continuación.

CVE-2010-2586: Existen varios errores en el plugin 'in_nsv' que podría causar un desbordamiento de entero y permitir a un atacante remoto ejecutar código arbitrario a través de una tabla de contenidos (TOC) o de un búfer SNV especialmente manipulado.

CVE-2010-4370: Existen varios errores en el plugin 'in_midi' que podría causar un desbordamiento de entero y permitir a un atacante remoto tomar el control de la máquina a través de un fichero MIDI especialmente manipulado.

CVE-2010-4371: Existe un error en el plugin 'in_mod' que podría causar un desbordamiento de memoria intermedia y que permitiría tomar el control de la máquina a través de vectores relacionados con cajas de comentarios.

CVE-2010-4372: Existe un error en el plugin 'in_nsv' que podría permitir a un atacante remoto tomar el control de la máquina a través de unos metadatos NSV especialmente manipulados. Esta vulnerabilidad es distinta a CVE-2010-2586.

CVE-2010-4373: Existe un error en el plugin 'in_mp4' que podría permitir a un atacante remoto causar una denegación de servicio a través de un fichero MP4 especialmente manipulado.

CVE-2010-4374: Existe un error el plugin 'in_mkv' que podría permitir a un atacante remoto causar una denegación de servicio a través de un fichero MKV (Matroska Video) especialmente manipulado.

Se recomienda a los usuarios que utilicen Winamp actualizar a la versión 5.6 desde su página oficial http://www.winamp.com


Jose Ignacio Palacios
jipalacios@hispasec.com


Más información:

Página oficial
http://forums.winamp.com/showthread.php?t=324322

sábado, 4 de diciembre de 2010

Nuevos contenidos en la Red Temática CriptoRed (noviembre de 2010)

Breve resumen de las novedades producidas durante el mes de noviembre de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE NOVIEMBRE DE 2010
* ZFS: Algunas Consideraciones Anti-Forenses (Jonathan Cifuentes, Jeimy Cano, 12 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142m1.htm

2. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE NOVIEMBRE DE 2010
* Lección 2: Sistemas de cifra con clave secreta (Fausto Montoya Vitini, 11.03 minutos)
http://www.intypedia.com/
* Lesson 2: Symmetric-key cryptography (Fausto Montoya Vitini, 11.26 minutos)
http://www.intypedia.com/?lang=en

3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE NOVIEMBRE DE 2010
* Informe de la Red de Sensores de INTECO del mes de octubre de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201010.pdf

4. SOFTWARE RECOMENDADO DE OTROS SERVIDORES EN EL MES DE NOVIEMBRE DE 2010
* Publicada StegoSense una nueva herramienta de esteganografía lingüística (Alfonso Muñoz, España)
http://stegosense.sourceforge.net/

5. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Diciembre 15 al 17 de 2010: International Conference on Information and Communications ICICS 2010 (Barcelona - España)
* Febrero 7 al 11 de 2011: X Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
* Febrero 24 al de 2011: Jornadas de Seguridad 2011 del GSIC en la Facultad de Informática de la Universidade da Coruña (A Coruña- España)
* Marzo 2 al 5 de 2011: Rooted CON 2011 (Madrid - España)
* Marzo 11 al 13 de 2011: IADIS International Conference Iinformation Systems 2011 (Ávila - España)
* Mayo 16 de 2011: Workshop on Security for Grid and Cloud Computing (Anchorage - Alaska)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security ACNS '11 (Nerja, Málaga - España)
* Junio 8 al 11 de 2011: Eighth International Workshop on Security In Information Systems WOSIS-2011 (Beijing - China)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

6. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE NOVIEMBRE DE 2010
* Jornada La reforma del Código Penal: delito informático, menores y responsabilidad penal personas jurídicas del IAITG (España)
* Jornadas de Concienciación de INTECO durante la Semana de la Seguridad de la Información (España)
* Jornadas de Seguridad 2011 del GSIC en la Facultad de Informática de la Universidade da Coruña (España)
* CFP para the Eighth International Workshop on Security In Information Systems WOSIS-2011 (China)
* Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (España)
* Quinto Día Internacional de la Seguridad de la Información DISI 2010 con Taher Elgamal el 30 de noviembre en la UPM (España)
* Curso Gobierno Corporativo de la Seguridad de la Información de ISMS Forum Spain en Madrid (España)
* CRIPTORED renueva su página Web principal continuando con su etapa de cambios (España)
* Los dos primeros vídeos de intypedia fueron los más vistos en YouTube EDU en el mes de octubre (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#nov10

7. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 847
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 36.155 visitas, con 96.360 páginas solicitadas y 36,84 GigaBytes servidos en noviembre de 2010
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Descarga de vídeos intypedia en noviembre de 2010: 5.646.
http://www.criptored.upm.es/estadisticas/intypedianoviembre2010.htm


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/



viernes, 3 de diciembre de 2010

Actualización de php para Red Hat Enterprise Linux 4 y 5

Red Hat ha publicado una actualización de php que corrige múltiples fallos de seguridad. Estos errores podrían permitir a un atacante remoto causar ataques de cross-site scripting, inyección de parámetros o causar una denegación de servicio entre otros.

php es un popular lenguaje dinámico usado principalmente para programación web.

Los fallos corregidos, por orden de CVE, son los siguientes:

CVE-2009-5016 y CVE-2010-3870: Existe un error de truncamiento y falta de validación en la función 'utf8_decode' cuando decodifica secuencias multi-byte. Esto podría ser usado por un atacante remoto para causar ataques de cross-site scripting a través de una página web especialmente manipulada.

CVE-2010-0397: Existe un error al manejar los argumentos de la función 'xmlrpc_decode_request' de la extensión 'xmlrpc' que podría provocar una dereferencia de puntero nulo. Esto podría ser aprovechado por un atacante independiente de contexto para causar una denegación de servicio a través de una llamada a 'xmlrpc_decode_request' especialmente manipulada.

CVE-2010-1128: Existe un error no especificado en 'session extension' ue podría permitir a un atacante remoto eludir restricciones (open_basedir y safe_mode) a través de vectores no especificados.

CVE-2010-1917: Existe un desbordamiento de memoria intermedia basado en pila en la función fnmatch. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de la manipulación del primer argumento de la función fnmatch.

CVE-2010-2531: Existe un error no especifcado en var_export que podría permitir una fuga de datos en memoria.

CVE-2010-3065: Existe un error en el serializador por defecto de PHP al manejar incorrectamente el carácter PS_UNDEF_MARKER. Esto podría permitir a un atacante remoto inyectar código arbitrario a través de un inicio de sesión manipulando la petición POST.

Esta actualización está disponible a través de Red Hat Network.


Laboratorio Hispasec
laboratorio@hispasec.com



jueves, 2 de diciembre de 2010

Proyecto ProFTPD comprometido y servidor troyanizado

Este pasado domingo 28 de noviembre el servidor principal de distribución de ficheros del proyecto ProFTPD se ha visto comprometido y la versión 1.3.3c reemplazada por otra con una puerta trasera.

ProFTP es un popular servidor FTP promocionado como estable y seguro, ampliamente configurable y de diseño modular, permitiendo de esta forma escribir extensiones como cifrado SSL/TLS, RADIUS, LDAP o SQL.

Según parece, el atacante empleó para acceder al servidor una vulnerabilidad no corregida en el propio demonio FTP. De esta forma pudo reemplazar los ficheros fuente para la versión ProFTPD 1.3.3c con una versión modificada conteniendo una puerta trasera.

Todavía no está claro qué vulnerabilidad usaron los atacantes para acceder. Si fuera un fallo conocido, esto indicaría que ProFTPD no ha parcheado sus propios servidores a tiempo, dando un pésimo ejemplo. Si fuera desconocida y solo la pudiesen utilizar los atacantes, no tendrían necesidad de troyanizar la distribución central de ProFTPD, puesto que ese fallo ya les permitiría de por sí tener acceso a los servidores. Habrá que esperar aclaraciones.

La modificación no autorizada del código fuente fue advertida por Jeroen Geilman el miércoles 1 de diciembre y solucionada posteriormente.

El servidor actúa como site principal para el proyecto ProFTPD así como servidor de distribución rsync para todos los servidores espejo. Esto implica que cualquier persona que se haya descargado la versión ProFTPD 1.3.3c de uno de los espejos oficiales entre los días 28 de noviembre y 1 de diciembre están afectados por este problema.

La puerta trasera introducida por los atacantes permiten acceso remoto con permisos de root a usuarios no autenticados en los sistemas que estén ejecutando la versión modificada del demonio ProFTPD dándole al atacante control total sobre el sistema.

El atacante ha realizado dos cambios en el programa. En primer lugar, el ProFTPD troyanizado se pone en contacto con la dirección IP 212.26.42.47 en el puerto 9090, y realiza una petición

GET /AB HTTP/1.0

Con esta petición en los logs, el atacante ya sabe qué máquina ha usado su ProFTPD troyanizado y dónde acudir. En segundo lugar, el atacante se conecta a ese servidor por FTP y escribe:

HELP ACIDBITCHEZ

Lo que le dará acceso root. La palabra ACIDBITCHEZ ha sido arbitrariamente elegida por el atacante.

Se recomienda a los usuarios que estén ejecutando dicha versión que comprueben si sus sistemas se han visto comprometidos y compilen o ejecuten una versión actualizada del código.

Para verificar la integridad de los ficheros fuente, se recomienda el uso de las firmas GPG disponibles tanto en los diferentes servidores FTP así como en la página oficial del proyecto ProFTPD:

http://www.proftpd.org/md5_pgp.html

Hash MD5:

018e0eb1757d9cea2a0e17f2c9b1ca2d proftpd-1.3.2e.tar.bz2
4ecb82cb1050c0e897d5343f6d2cc1ed proftpd-1.3.2e.tar.gz
8571bd78874b557e98480ed48e2df1d2 proftpd-1.3.3c.tar.bz2
4f2c554d6273b8145095837913ba9e5d proftpd-1.3.3c.tar.gz

Firmas PGP:

proftpd-1.3.2e.tar.bz2.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkuFYtsACgkQt46JP6URl2rqVACgzefr58XHVoh2ARERbkW5qPzb
Qj4AoOwwH55FlS7OM8sBjELT0OhrN0jQ
=E6hR
-----END PGP SIGNATURE-----

proftpd-1.3.2e.tar.gz.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkuFYuAACgkQt46JP6URl2pTVQCeJ7HM7ltLwJwb4TQ3AwT9j36n
/ywAn3rB6HRVDGTF2WuOJgn/dss7VWeV
=G553
-----END PGP SIGNATURE-----

proftpd-1.3.3c.tar.bz2.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkzLAWYACgkQt46JP6URl2qu3QCcDGXD+fRPOdKMp8fHyHI5d12E
83gAoPHBrjTFCz4MKYLhH8qqxmGslR2k
=aLli
-----END PGP SIGNATURE-----

proftpd-1.3.3c.tar.gz.asc
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEABECAAYFAkzLAW0ACgkQt46JP6URl2ojfQCfXy/hWE8G5mhdhdLpaPUZsofK
pO8Anj+uP0hQcn1E/CEUddI0mezlSCmg
=e8el
-----END PGP SIGNATURE-----


Borja Luaces
bluaces@hispasec.com


Más información:

ProFTPD ftp.proftpd.org compromise
http://sourceforge.net/mailarchive/message.php?msg_name=alpine.DEB.2.00.1012011542220.12930%40familiar.castaglia.org

miércoles, 1 de diciembre de 2010

Cuidado con los resultados de los buscadores en Navidad

Hoy en día no es extraño que los usuarios adquieran los regalos navideños directamente a través de Internet. Este hecho no pasa desapercibido entre los propagadores de malware o estafadores, que a través de técnicas de envenenamiento SEO (Search engine optimization) o black SEO encuentran una forma eficaz de promocionar tiendas fraudulentas con el único fin de robar credenciales de pago por Internet. Websense ha publicado un informe analizando estas amenazas.

Las técnicas de "search engine optimization" u optimización de los resultados de búsqueda son conocidas desde que nacieron los buscadores. Aparecer entre las primeras posiciones en una búsqueda multiplica sustancialmente las posibilidades de que el usuario visite la página y por tanto, obtener un beneficio bien sea como anunciante o como proveedor. Cuando esta optimización se realiza sin escrúpulos, con malas artes y a costa de comprometer recursos ajenos, se convierte en Black SEO. Una técnica conocida, por ejemplo, es aprovechar vulnerabilidades en webs legítimas (como fallos XSS), que son utilizados para redirigir el tráfico hacia la web fraudulenta. Otra técnica muy usada es la inundación de foros y redes sociales con mensajes insustanciales promocionando la página en cuestión.

Estas técnicas son muy usadas por creadores de malware. En Navidad, además, aparecen tiendas fraudulentas que prometen importantes ofertas.

Los buscadores luchan para mitigar estos resultados engañosos en sus búsquedas, pero según publica Websense en un informe en el que se analizan las amenazas de 2010, aún están lejos de conseguirlo. El informe afirma que el 30% de los resultados mostrados por los buscadores para términos relacionados con las compras por Internet son fraudulentos. En Navidad, este porcentaje se acentúa.

Aunque el spam o correo basura sigue siendo el método principal usado por el atacante para incitar que las víctimas visiten sus páginas, las redes sociales se han convertido cada vez más en un medio utilizado para el fraude. En el mismo informe se afirma que el 10% de los campos "estado" de los usuarios de redes sociales que contienen enlaces son links a páginas fraudulentas.

Se aconseja que, no solo durante Navidad, se realicen las compras exclusivamente en tiendas reputadas.


Fernando Ramírez
framirez@hispasec.com


Más información:

Informe Websense
http://www.websense.com/content/threat-report-2010-introduction.aspx